Le Règlement Général sur la Protection des Données (RGPD) entre en vigueur. Tandis que les nombreuses entreprises qui, dans le cadre de leur activité sont amenées à traiter certaines données personnelles dites sensibles, sont en pleine transformation de leurs processus, découvrez comment votre prestataire de paiement peut contribuer à votre plan de mise en conformité.
1. L’acquisition client en ligne
Assurez-vous de proposer un processus d’acquisition client fluide en utilisant une solution de paiement en ligne complète et qui pourra par exemple vous éviter, dans le cas des paiements par prélèvement, de remplir un mandat papier, en le remplaçant par une signature électronique. L’étape de Checkout (ou page de paiement) permet au consommateur d’entrer ses informations bancaires et de donner son consentement pour le paiement. Afin d’être en conformité avec la régulation RGPD, un marchand doit éviter de conserver toute information de paiement, comme le Primary Account Number (PAN) d’une carte bancaire, ou l’IBAN pour un prélèvement SEPA. En ne les conservant pas, le marchand renforce leur protection en cas de tentative de vol de données. Ainsi, dans le cadre de paiements récurrents, la meilleure option est de passer la main à votre prestataire de paiement qui est autorisé à conserver les données de paiement,et qui se chargera de leur protection.
C’est exactement ce que permet SlimPay et son checkout en tokenisant (processus de substitution de données bancaires par un jeton ou « token » en anglais) les données de carte bancaire et en ne conservant pas l’identifiant : une garantie de conformité RGPD. Les entreprises doivent donc disposer de procédures rapides afin d’identifier toutes ces données et de pouvoir répondre à la demande de la personne concernée sans qu’il n’y ait, de contrainte à ce droit d’accès (Article 15), ni de contrainte à une demande de rectification des informations (Article 16).
2. Processus d’automatisation
La RGPD impose aux marchands d’automatiser et de digitaliser leurs processus. Sur le plan des données, la personne concernée par ces informations personnelles (par exemple le consommateur d’une marque) peut demander à ce que toutes ses données soient effacées, ou exiger d’obtenir un rapport de toutes les données stockées par l’entreprise, le concernant. Le marchand (appelé dans ce cadre le responsable du traitement) dispose d’un délai d’un mois pour répondre à cette requête*.
Ainsi, SlimPay, en tant que sous-traitant, permet aux marchands de digitaliser une partie de leurs processus de paiement grâce à une page Checkout permettant aux clients de finaliser un achat en choisissant la méthode de paiement la plus appropriée. Le Dashboard, ou tableau de bord SlimPay, permet par ailleurs de gérer toutes les transactions via un seul outil et de suivre le statut des mandats, des alias carte et des transactions en temps réel.
*Article 12, 3 : « Le responsable du traitement fournit à la personne concernée des informations sur les mesures prises à la suite d’une demande formulée en application des articles 15 à 22, dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement. »
3. Archivage des données
L’article 32 de la RGPD établit l’obligation pour le marchand de garantir la sécurité des données personnelles. Le responsable du traitement des données ainsi que le sous-traitant sont donc tenus de mettre en place des mesures techniques et organisationnelles visant à assurer un niveau de sécurité adapté au risque inhérent au traitement des données personnelles.
Pour garantir un processus de sécurité efficace, les marchands peuvent confier le stockage des mandats et de PAN à leur sous-traitant de paiement qui sera en charge des procédures légales. Les établissements de paiement et leurs prestataires sont fortement régulés et contrôlés ce qui en fait de véritables partenaires de confiance en terme de sécurité et de conformité à la loi. Les partenaires de SlimPay en charge du stockage et de la protection des mandats en font partie, et sont en mesure de garantir l’archivage long terme et conforme aux durées légales de conservation de tous les mandats électroniques signés par un consommateur au bénéfice d’un marchand.
SlimPay permet par ailleurs l’identification du débiteur et garantit au marchand que la personne autorisant le paiement correspond bien aux données personnelles transmises, grâce à une solution de signature électronique avancée :
- Reliée à un seul signataire
- Capable d’identifier le signataire
- Utilisant des données de signature électronique sous le contrôle exclusif du signataire
- Reliée aux données précédemment transmises et permettant de détecter toute modification de ces données
4. Transparence
La RGPD permettra un accroissement de la transparence des processus et par conséquent de la confiance des consommateurs envers les marchands et leurs sous-traitants. Pour accompagner l’entrée en vigueur de ce règlement, la première étape consiste à informer tout consommateur ou utilisateur final impliqué dans un processus de paiement afin qu’il comprenne bien quels rôles jouent chaque intervenant autour de ses données de paiement. Faire apparaître le logo de chaque partie prenante sur le site web du marchand ou dans les termes et conditions, peut-être une bonne première étape.
Le droit à une information transparente est clé dans la relation marchand/consommateur !
Pour en savoir plus sur SlimPay et comment nous pouvons vous aider à rendre vos processus de paiement conformes à la RGPD, contactez-nous pour un devis personnalisé selon vos besoins.
